Показано с 1 по 15 из 15.

svchost.exe + куча smtp-сессий = мой комп стал спамботом (заявка № 27844)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44

    Thumbs up svchost.exe + куча smtp-сессий = мой комп стал спамботом

    Подцепил где-то гадость.
    svchost.exe плодит кучу smtp-сессий, которые наружу шлют мыло.

    Гонял вирус по компу вручную, но, есессьно, это нереал - эта сцука вновь и вновь лезет. Руткит что ли?

    Сейчас сижу в инете и комп спамит со страшной силой, а вырубить инет не могу - надо лечить комп.

    Помогите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsq15.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsq15.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('UMWdfhelpsvc');
    BC_DeleteSvc('Winsq15');
    BC_DeleteSvc('helpsvcRpcLocator');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27844 ).

    Очистите временные папки и кеш браузера.

    Вот здесь
    C:\Program Files\The Bat!\MAIL\ak76@scorpions.ru\Attach\scorpion@scorpi ons.ru2.MSG
    C:\Program Files\The Bat!\MAIL\ak76@scorpions.ru\Attach\webmaster@scorp ions.ru2.MSG
    Вредоносный объект I-Worm.Hybris.b
    Надо Вам с этим разобраться.

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    Цитата Сообщение от kps Посмотреть сообщение
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27844 ).
    Выслал.

    Цитата Сообщение от kps Посмотреть сообщение
    Очистите временные папки и кеш браузера.
    Очистил.

    Цитата Сообщение от kps Посмотреть сообщение
    Вот здесь
    C:\Program Files\The Bat!\MAIL\ak76@scorpions.ru\Attach\scorpion@scorpi ons.ru2.MSG
    C:\Program Files\The Bat!\MAIL\ak76@scorpions.ru\Attach\webmaster@scorp ions.ru2.MSG
    Вредоносный объект I-Worm.Hybris.b
    Надо Вам с этим разобраться.
    Грохнул.

    Цитата Сообщение от kps Посмотреть сообщение
    Сделайте новые логи.
    Готово.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('helpsvcRpcLocator');
     DeleteService('RemoteRegistryAlerter');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('helpsvcRpcLocator');
    BC_DeleteSvc('RemoteRegistryAlerter');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    Сделал.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Ничего зловредного на видно.
    Сервис Пак 3 поставть надо.
    Как работает система?

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Ничего зловредного на видно.
    Сервис Пак 3 поставть надо.
    Как работает система?

    Прошу прощения, я syscheck и hijackthis произвел без запущенного IE.
    Добавил обновленные файлы.

    Отлично работает - по-моему форточки даже пошустрее стали стартовать.
    Я так понял, что уже после первой чистки вирус помер.

    Ок. Поставлю SP3.

    Благодарю!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от skywriter Посмотреть сообщение
    Я так понял, что уже после первой чистки вирус помер.
    Если бы это было так, 2-й скрипт бы не нужен

    ntos.exe_ - Trojan-Spy.Win32.Zbot.duy - новый
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.awb
    Последний раз редактировалось Rene-gad; 10.08.2008 в 21:50.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если бы это было так, 2-й скрипт бы не нужен

    ntos.exe_ - Trojan-Spy.Win32.Zbot.duy - новый
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.awb
    Черт...
    По-моему недобиток остался на машине.
    Опять появился файл C:\Documents and Settings\xxx\Local Settings\Temp\etilqs_dMBjvrKjAr5lMpQcV9LW

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от skywriter Посмотреть сообщение
    Опять появился файл C:\Documents and Settings\xxx\Local Settings\Temp\etilqs_dMBjvrKjAr5lMpQcV9LW
    Очистите темп-папки, кэш проводников и корзину.
    Повторите логи.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    +
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Вы этот IP и адреса сами в хостах прописывали?
    Код:
    10.95.1.58 infotk.corp.mvideo.ru admininfotk.corp.mvideo.ru testinfotk.corp.mvideo.ru
    Если нет - запустите АВЗ, Файл/Восстановление системы, отметьте пункт 13 и запустите.
    Больше ничего плохого не видно.
    Проверьте систему согласно пунктам 1 и 2 правил.

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Адрес
    Москва
    Сообщений
    41
    Вес репутации
    44
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Вы этот IP и адреса сами в хостах прописывали?
    Код:
    10.95.1.58 infotk.corp.mvideo.ru admininfotk.corp.mvideo.ru testinfotk.corp.mvideo.ru
    Если нет - запустите АВЗ, Файл/Восстановление системы, отметьте пункт 13 и запустите.
    Больше ничего плохого не видно.
    Проверьте систему согласно пунктам 1 и 2 правил.
    Я прописывал.
    Спалили контору...
    Проверил весь комп - проверял 3.5 часа. Чисто.

    Я разгадал тайну файла C:\Documents and Settings\xxx\Local Settings\Temp\etilqs_dMBjvrKjAr5lMpQcV9LW.
    etilqs - ничто иное как sqlite, только наоборот.
    А файл этот появляется в папке Temp при использовании Firefox (в моем случае Firefox 3).
    Такой же префикс для временных файлов БД применяется софтинами winamp и TVU (это я уже у себя поиском выяснил).
    Вот такие кренделя.

    Вирусов на тачке нет.
    Еще раз благодарю за помощь!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от skywriter Посмотреть сообщение
    Я разгадал тайну файла C:\Documents and Settings\xxx\Local Settings\Temp\etilqs_dMBjvrKjAr5lMpQcV9LW.
    etilqs - ничто иное как sqlite, только наоборот.
    А файл этот появляется в папке Temp при использовании Firefox (в моем случае Firefox 3).
    Такой же префикс для временных файлов БД применяется софтинами winamp и TVU (это я уже у себя поиском выяснил).
    Спасибо за интересную информацию

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,528
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.duz (DrWEB: Trojan.Packed.511)
      2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.awb (DrWEB: Trojan.MulDrop.1827


  • Уважаемый(ая) skywriter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Комп стал глючить
      От StSektro в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.10.2010, 01:46
    2. Куча SMTP сессий на разные IP адреса
      От DmitriyE в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.07.2010, 08:28
    3. Троян запускает SMTP Сессии под SVCHost
      От Loki3d в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:21
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 04:06
    5. Ответов: 6
      Последнее сообщение: 13.12.2006, 19:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00781 seconds with 22 queries